Er is veel te zeggen over de komende Europese privacy verordening en de gevolgen ervan, maar één ding kan je niet zeggen: gebrek aan aandacht. De vakbladen staan er vol mee, de columns zijn niet aan te slepen, waarschuwingen alóm, en toch moet 80% of meer van de organisaties in Nederland nog beginnen om de GDPR te lezen… laat staan er verder iets mee te doen.

GDPR in vogelvlucht

Mr. Ad Schaafsma ((Jurist, CDPO en Security Consultant) gaat in op de belangrijkste uitgangspunten van de GDPR, zoals de uitbreiding van de rechten van de betrokkene en je ‘toonplicht’ compliant te zijn. ‘Kernboodschap is dat je zó moet documenteren dat je kunt aantonen dat je de GDPR inhoudelijk nakomt en dat je aan zorgplichten rond bescherming van persoonsgegevens voldoet op de punten documentatieplichten, afspraken en security. Zorg ervoor dat je ‘auditable’ bent!’

‘Over een aantal jaren is je goede omgang met privacy een bewijs van moreel en ethisch correct gedrag, net zoals maatschappelijk verantwoord ondernemen dat nu al is.’

Non-compliance

De consequentie van non-compliance is niet alleen dat je een ‘boete’ kunt krijgen. Het gaat veel verder: de AP kan zich met je bedrijfsvoering bemoeien, je organisatie lijdt reputatieschade en accountants gaan lastige vragen stellen. Schaafsma: ‘De wereld neemt privacy steeds serieuzer, mijn advies is om daarin mee te gaan. Over een aantal jaren is je goede omgang met privacy een bewijs van moreel en ethisch correct gedrag, net zoals maatschappelijk verantwoord ondernemen dat nu al is.’

Documentatie en tooling

De AP legt om te beginnen de nadruk op documentatie. ‘Je moet je ‘register van verwerkingen’ goed opzetten en bijhouden’ vervolgt Schaafsma. ‘Dit en andere documentatie is het startpunt om compliance vast te stellen. Daarbij horen templates voor veel voorkomende documenten, een ondersteunend systeem voor de registraties en privacy statements die je gebruikt om betrokkenen te informeren.’

☛ Lees hier hoe wij je helpen je organisatie secure te houden

Beleid en werkwijze

Belangrijk is dat de organisatie een privacy beleid rond persoonsgegevens ontwikkelt. ‘Dat beleid draagt graag ook een morele opvatting uit over goede omgang met de privacy van betrokkenen; intrinsieke wil en motivatie om na te leven werken bewezen beter dan ‘moeten’. De praktische invulling met protocollen, procedures en handleidingen bepaalt hoe je organisatie omgaat met vragen van betrokkenen. Die vragen dien je binnen redelijke tijd te kunnen beantwoorden.’

Bewustwording en kennis

Iedereen moet en kan op dit vlak bijdragen omdat iedereen met data omgaat en menselijke tekortkomingen de belangrijkste oorzaak van datalekken zijn. ‘IT security baseert immers op en begint bij menselijk (bewust) gedrag’ licht Schaafsma toe. ‘En leer om nauwkeurig te zijn!’

Beveiliging

Standaarden en certificeringen zijn je ‘schild’ en bewijs dat je de redelijk vereiste inspanningen levert om compliant te zijn. De markt beweegt nadrukkelijk die richting uit. ‘Feitelijk is straks een standaard als ISO 27001, ISAE 3402 of SOC2 verklaring de nieuwe norm voor betrouwbaar en veilig.’

Tot slot

‘Winnen begint bij beginnen’, zo sluit Schaafsma af. ‘Weet wat je organisatie doet, weet wat die in huis heeft, welke interne en externe maatregelen er genomen worden. Ga dan je processen en procedures langs en zorg dat de AP, of de accountant, je compliance kan bepalen.’

Key points:

  • Documenteer om compliance aan te tonen.
  • Passende tooling is onmisbaar.
  • Een morele opvatting uitdragen is niet ouderwets.
  • Basiskennis is onmisbaar.
  • Winnen begint bij beginnen. Weet wat je organisatie doet, wat die in huis heeft, welke interne en externe maatregelen je neemt.